Если бы Виллариба и Виллабаджио пострадали от программы-вымогателя MegaCortex, то у них действительно был бы праздник, так как специалисты румынской антивирусной компании Bitdefender выпустили бесплатный дешифратор.
В ходе совместной работы с Европолом и исследователями из проекта NoMoreRansom специалистам Bitdefender удалось создать дешифратор и теперь все желающие могут (в РФ через VPN) воспользоваться декриптором, скачав его с официального сайта.
Впервые семейство шифровальщиков MegaCortex попало в поле зрения в 2019 году.
Еще тогда ФБР предупреждали об атаках на частный сектор.
Причем, операторы MegaCortex почти с самого начала использовали тактику двойного вымогательства: не только шифровали файлы, но и крали внутренние данные. Из известных попыток вымогательства за расшифровку просили от 20 тыс. до 5,8 млн долларов.
Использовать дешифратор довольно просто, так как это автономный исполняемый файл, который не требует установки и предлагает автоматически находить зашифрованные файлы в системе.
Кроме того, у декриптора есть режим Scan Entire System, позволяющий пользователям искать повреждённые файлы по всей системе.
Еще дешифратор может создавать резервные копии зашифрованных файлов в целях безопасности на случай, если в процессе расшифровки что-то пойдет не так, что может привести к повреждению файлов без возможности восстановления.
Тем не менее из инструкции настоятельно рекомендуется сначала сделать резервную копию всех затронутых файлов, а уже потом приступать к расшифровке.
Без сомнений, приятная новость, которая кому-то облегчит жизнь, однако BitDefender так и не сообщил, как и откуда они получили закрытые ключи для расшифровщика MegaCortex.
Вероятно, это связано с арестом в октябре 2021 года 12 человек, ответственных за более чем 1800 атак программ-вымогателей в 71 стране, многие из которых использовали штамм MegaCortex.
В ходе совместной работы с Европолом и исследователями из проекта NoMoreRansom специалистам Bitdefender удалось создать дешифратор и теперь все желающие могут (в РФ через VPN) воспользоваться декриптором, скачав его с официального сайта.
Впервые семейство шифровальщиков MegaCortex попало в поле зрения в 2019 году.
Еще тогда ФБР предупреждали об атаках на частный сектор.
Причем, операторы MegaCortex почти с самого начала использовали тактику двойного вымогательства: не только шифровали файлы, но и крали внутренние данные. Из известных попыток вымогательства за расшифровку просили от 20 тыс. до 5,8 млн долларов.
Использовать дешифратор довольно просто, так как это автономный исполняемый файл, который не требует установки и предлагает автоматически находить зашифрованные файлы в системе.
Кроме того, у декриптора есть режим Scan Entire System, позволяющий пользователям искать повреждённые файлы по всей системе.
Еще дешифратор может создавать резервные копии зашифрованных файлов в целях безопасности на случай, если в процессе расшифровки что-то пойдет не так, что может привести к повреждению файлов без возможности восстановления.
Тем не менее из инструкции настоятельно рекомендуется сначала сделать резервную копию всех затронутых файлов, а уже потом приступать к расшифровке.
Без сомнений, приятная новость, которая кому-то облегчит жизнь, однако BitDefender так и не сообщил, как и откуда они получили закрытые ключи для расшифровщика MegaCortex.
Вероятно, это связано с арестом в октябре 2021 года 12 человек, ответственных за более чем 1800 атак программ-вымогателей в 71 стране, многие из которых использовали штамм MegaCortex.
͏Потенциально серьезные уязвимости прошивки UEFI в чипах Qualcomm Snapdragon затрагивают многие устройства, произведенные Microsoft, Lenovo, Samsung и многими другими компаниями.
Qualcomm объявила о доступности исправлений для тринадцати уязвимостей, в том числе пяти ошибок, связанных с подключением и загрузкой, обнаруженных исследователями Binarly.
Ресерчеры обнаружили в общей сложности девять уязвимостей при анализе прошивки ноутбуков Lenovo Thinkpad X13s на базе Qualcomm Snapdragon (SoC).
Дальнейший анализ показал, что пять из них затрагивают эталонный код Qualcomm, а значит присутствуют в ноутбуках и других устройствах, использующих чипы Snapdragon.
Согласно Binarly, уязвимости Qualcomm, как было подтверждено, затрагивают также компьютеры Microsoft Surface на базе Arm и Windows Dev Kit 2023 (Project Volterra), а также продукты Samsung.
Устранены в совокупности 22 уязвимости в пакете Snapdragon.
Наиболее серьезным недостатком является ошибка, связанная с переполнением буфера в Automotive, отслеживаемая как CVE-2022-33219 (оценка CVSS 9,3), а также две другие серьезные проблемы.
Среди них:
- CVE-2022-33218 (оценка CVSS 8.2) — ошибка связана с повреждением памяти в Automotive из-за неправильной проверки ввода,
- CVE-2022-33265 (оценка CVSS 7,3) — уязвимость заключается в раскрытии информации в прошивке Powerline Communication.
Qualcomm заявила, что исправления для уязвимостей, обнаруженных Binarly, были доступны для клиентов в ноябре 2022 года.
Компания призывает конечных пользователей применять обновления, как только они станут доступны от производителей устройств.
Qualcomm объявила о доступности исправлений для тринадцати уязвимостей, в том числе пяти ошибок, связанных с подключением и загрузкой, обнаруженных исследователями Binarly.
Ресерчеры обнаружили в общей сложности девять уязвимостей при анализе прошивки ноутбуков Lenovo Thinkpad X13s на базе Qualcomm Snapdragon (SoC).
Дальнейший анализ показал, что пять из них затрагивают эталонный код Qualcomm, а значит присутствуют в ноутбуках и других устройствах, использующих чипы Snapdragon.
Согласно Binarly, уязвимости Qualcomm, как было подтверждено, затрагивают также компьютеры Microsoft Surface на базе Arm и Windows Dev Kit 2023 (Project Volterra), а также продукты Samsung.
Устранены в совокупности 22 уязвимости в пакете Snapdragon.
Наиболее серьезным недостатком является ошибка, связанная с переполнением буфера в Automotive, отслеживаемая как CVE-2022-33219 (оценка CVSS 9,3), а также две другие серьезные проблемы.
Среди них:
- CVE-2022-33218 (оценка CVSS 8.2) — ошибка связана с повреждением памяти в Automotive из-за неправильной проверки ввода,
- CVE-2022-33265 (оценка CVSS 7,3) — уязвимость заключается в раскрытии информации в прошивке Powerline Communication.
Qualcomm заявила, что исправления для уязвимостей, обнаруженных Binarly, были доступны для клиентов в ноябре 2022 года.
Компания призывает конечных пользователей применять обновления, как только они станут доступны от производителей устройств.
Вышел январский PatchTuesday от Microsoft с исправлениями для рекордных 98 задокументированных уязвимостей в ПО.
Одиннадцать из них классифицируются как критические, включая 0-day, из них 39 - повышение привилегий, 4- обхода функций безопасности, 33 - RCE, 10 - раскрытия информации, 10 - DoS и 2- спуфинга.
Обнаруженная исследователями Avast активно эксплуатируемая уязвимость CVE-2023-21674 использовалась в реальных атаках для выхода из песочницы браузера.
Однако, как обычно, Microsoft не раскрывает подробностей об уязвимости или обстоятельствах выявленных атак.
Она затрагивает компонент Windows Advanced Local Procedure Call (ALPC) и позволяет злоумышленнику получить системные привилегии.
Разработчик также обратил внимание на CVE-2023-21549, проблему повышения привилегий в Windows SMB Witness Service, предупредив, что технические подробности об уязвимости уже общедоступны.
Чтобы ей воспользоваться, злоумышленник может выполнить специально созданный вредоносный сценарий, который выполняет вызов к узлу RPC, что может привести к повышению привилегий на сервере.
Microsoft добавила, что злоумышленник, успешно эксплуатировавший уязвимость, может выполнять функции RPC, доступные только для привилегированных учетных записей.
Другие январские исправления устраняют ошибки выполнения кода, отказа в обслуживании и повышения привилегий в широком диапазоне ОС WIndows и системных компонентов, включая Office, Net Core и Visual Studio Code, Microsoft Exchange Server, диспетчер очереди печати Windows, Защитник Windows и Windows BitLocker.
С полным перечнем всех закрытых уязвимостей можно ознакомиться здесь.
Одиннадцать из них классифицируются как критические, включая 0-day, из них 39 - повышение привилегий, 4- обхода функций безопасности, 33 - RCE, 10 - раскрытия информации, 10 - DoS и 2- спуфинга.
Обнаруженная исследователями Avast активно эксплуатируемая уязвимость CVE-2023-21674 использовалась в реальных атаках для выхода из песочницы браузера.
Однако, как обычно, Microsoft не раскрывает подробностей об уязвимости или обстоятельствах выявленных атак.
Она затрагивает компонент Windows Advanced Local Procedure Call (ALPC) и позволяет злоумышленнику получить системные привилегии.
Разработчик также обратил внимание на CVE-2023-21549, проблему повышения привилегий в Windows SMB Witness Service, предупредив, что технические подробности об уязвимости уже общедоступны.
Чтобы ей воспользоваться, злоумышленник может выполнить специально созданный вредоносный сценарий, который выполняет вызов к узлу RPC, что может привести к повышению привилегий на сервере.
Microsoft добавила, что злоумышленник, успешно эксплуатировавший уязвимость, может выполнять функции RPC, доступные только для привилегированных учетных записей.
Другие январские исправления устраняют ошибки выполнения кода, отказа в обслуживании и повышения привилегий в широком диапазоне ОС WIndows и системных компонентов, включая Office, Net Core и Visual Studio Code, Microsoft Exchange Server, диспетчер очереди печати Windows, Защитник Windows и Windows BitLocker.
С полным перечнем всех закрытых уязвимостей можно ознакомиться здесь.
͏Не менее внушительное обновление выпустила Google в рамках январского патча для Android.
Первые обновления безопасности Android на 2023 год исправляют в общей сложности 60 уязвимостей.
Первая часть - уровень исправления безопасности 2023-01-01, устраняет 19 дефектов в компонентах Framework и System.
Наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.
Всего в компоненте Framework было устранено 11 ошибок повышения привилегий, а также 3 проблемы отказа в обслуживании.
При этом 5 других уязвимостей, связанных с повышением привилегий, были устранены в системном компоненте.
Вторая часть январского обновления безопасности этого месяца, которое поступает на устройства как уровень исправления безопасности 2023-01-05, устраняет еще 41 уязвимость в ядре и сторонних компонентах.
Наиболее важными из них являются 4 уязвимости критической степени серьезности в ядре и компонентах ядра, каждая из которых приводит к RCE, а также еще 2 серьезные ошибки повышения привилегий.
Обновления также устраняют ошибки в Kernel LTS, компонентах Imagination Technologies, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.
Google устранила восемь уязвимостей в устройствах Pixel, в том числе 3 уязвимости высокой степени серьезности и 5 средней степени серьезности в компонентах Qualcomm.
Google также анонсировала исправления для восьми уязвимостей в рамках обновлений для Android Automotive за январь 2023 года, в том числе 3 обязательных - в компонентах Media Framework и Platform Apps и 5 необязательных - в Platform Apps, System UI и Kernel.
Первые обновления безопасности Android на 2023 год исправляют в общей сложности 60 уязвимостей.
Первая часть - уровень исправления безопасности 2023-01-01, устраняет 19 дефектов в компонентах Framework и System.
Наиболее серьезной из этих проблем является уязвимость в компоненте Framework, которая может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.
Всего в компоненте Framework было устранено 11 ошибок повышения привилегий, а также 3 проблемы отказа в обслуживании.
При этом 5 других уязвимостей, связанных с повышением привилегий, были устранены в системном компоненте.
Вторая часть январского обновления безопасности этого месяца, которое поступает на устройства как уровень исправления безопасности 2023-01-05, устраняет еще 41 уязвимость в ядре и сторонних компонентах.
Наиболее важными из них являются 4 уязвимости критической степени серьезности в ядре и компонентах ядра, каждая из которых приводит к RCE, а также еще 2 серьезные ошибки повышения привилегий.
Обновления также устраняют ошибки в Kernel LTS, компонентах Imagination Technologies, MediaTek, Unisoc, Qualcomm и Qualcomm с закрытым исходным кодом.
Google устранила восемь уязвимостей в устройствах Pixel, в том числе 3 уязвимости высокой степени серьезности и 5 средней степени серьезности в компонентах Qualcomm.
Google также анонсировала исправления для восьми уязвимостей в рамках обновлений для Android Automotive за январь 2023 года, в том числе 3 обязательных - в компонентах Media Framework и Platform Apps и 5 необязательных - в Platform Apps, System UI и Kernel.
Подошли и первые январские исправления ICS с дюжиной рекомендаций по безопасности от Siemens и Schneider Electric, устраняющих в общей сложности 27 уязвимостей.
Siemens опубликовала шесть бюллетеней, описывающих в общей сложности 20 уязвимостей. Обновления безопасности доступны для многих уязвимых продуктов, но для некоторых не будут внесены исправления.
Наиболее важные рекомендации описывают дюжину недостатков в Sinec INS (Infrastructure Network Services).
Ошибки, все из которых критические или высокой серьезности, могут позволить злоумышленнику считывать и записывать произвольные файлы, что в конечном итоге может привести к RCE на устройстве. Некоторые уязвимости затрагивают сторонние компоненты.
Другой бюллетень касается критической XSS-уязвимости в модуле Mendix SAML, которую злоумышленник может использовать для получения конфиденциальной информации, обманом заставив целевого пользователя щелкнуть ссылку, но эксплуатация возможна только в определенных конфигурациях, отличных от настроек по умолчанию.
Siemens также проинформировала о двух уязвимостях высокой степени опасности в Automation License Manager.
Одна из них может позволить злоумышленнику, не прошедшему проверку подлинности, удаленно переименовывать и перемещать файлы, а другую можно использовать для RCE, если она связана с первой.
RCE-уязвимости исправлены в JT Open Toolkit, JT Utilities и Solid Edge. Эксплуатация заключается в том, чтобы заставить целевого пользователя открыть специально созданный файл.
Исследователи обнаружили аппаратную проблему в ЦП S7-1500, которая может позволить злоумышленнику, имеющему физический доступ к устройству, заменить загрузочный образ и выполнить произвольный код.
Производитель выпустил новые аппаратные версии для некоторых модификаций и работает над новыми для оставшихся типов ПЛК, чтобы полностью устранить эту уязвимость.
Schneider Electric также выпустила шесть новых бюллетеней, но в общей сложности они охватывают семь уязвимостей.
Компания проинформировала клиентов о наличии патчей для критических и высококритичных уязвимостей в продукте EcoStruxure Geo SCADA Expert, которые могут быть использованы для DoS-атак и получения конфиденциальной информации.
В ПО EcoStruxure Power Operation и Power SCADA Operation устранена серьезная проблема, связанная с DoS.
EcoStruxure Power SCADA Anywhere подвержена серьезной уязвимости, которую можно использовать для выполнения команд ОС, но для использования требуется аутентификация.
В EcoStruxure Control Expert, Process Expert и ПЛК Modicon исправлены уязвимости, которые делают возможным RCE и DoS-атаки с использованием специально созданных файлов проекта. На эти продукты также влияет ошибка обхода аутентификации.
В Machine Expert HVAC закрыта проблема раскрытия информации средней степени серьезности.
Siemens опубликовала шесть бюллетеней, описывающих в общей сложности 20 уязвимостей. Обновления безопасности доступны для многих уязвимых продуктов, но для некоторых не будут внесены исправления.
Наиболее важные рекомендации описывают дюжину недостатков в Sinec INS (Infrastructure Network Services).
Ошибки, все из которых критические или высокой серьезности, могут позволить злоумышленнику считывать и записывать произвольные файлы, что в конечном итоге может привести к RCE на устройстве. Некоторые уязвимости затрагивают сторонние компоненты.
Другой бюллетень касается критической XSS-уязвимости в модуле Mendix SAML, которую злоумышленник может использовать для получения конфиденциальной информации, обманом заставив целевого пользователя щелкнуть ссылку, но эксплуатация возможна только в определенных конфигурациях, отличных от настроек по умолчанию.
Siemens также проинформировала о двух уязвимостях высокой степени опасности в Automation License Manager.
Одна из них может позволить злоумышленнику, не прошедшему проверку подлинности, удаленно переименовывать и перемещать файлы, а другую можно использовать для RCE, если она связана с первой.
RCE-уязвимости исправлены в JT Open Toolkit, JT Utilities и Solid Edge. Эксплуатация заключается в том, чтобы заставить целевого пользователя открыть специально созданный файл.
Исследователи обнаружили аппаратную проблему в ЦП S7-1500, которая может позволить злоумышленнику, имеющему физический доступ к устройству, заменить загрузочный образ и выполнить произвольный код.
Производитель выпустил новые аппаратные версии для некоторых модификаций и работает над новыми для оставшихся типов ПЛК, чтобы полностью устранить эту уязвимость.
Schneider Electric также выпустила шесть новых бюллетеней, но в общей сложности они охватывают семь уязвимостей.
Компания проинформировала клиентов о наличии патчей для критических и высококритичных уязвимостей в продукте EcoStruxure Geo SCADA Expert, которые могут быть использованы для DoS-атак и получения конфиденциальной информации.
В ПО EcoStruxure Power Operation и Power SCADA Operation устранена серьезная проблема, связанная с DoS.
EcoStruxure Power SCADA Anywhere подвержена серьезной уязвимости, которую можно использовать для выполнения команд ОС, но для использования требуется аутентификация.
В EcoStruxure Control Expert, Process Expert и ПЛК Modicon исправлены уязвимости, которые делают возможным RCE и DoS-атаки с использованием специально созданных файлов проекта. На эти продукты также влияет ошибка обхода аутентификации.
В Machine Expert HVAC закрыта проблема раскрытия информации средней степени серьезности.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
͏Ресерчеры Лаборатории Касперского сообщают, что более 730 организаций в четвёртом квартале 2022 года столкнулись с ransomware-инцидентами.
При этом львиная доля всех таргетированных атак шифровальщиков приходится на восемь крупных групп.
Всё они были представлены и подробно описаны командой Kaspersky Threat Intelligence в аналитическом отчете Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков.
Передовые позиции на ландшафте угроз сохранили Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и BlackCat, причём две последние стали активно атаковать с осени 2021 года.
Безусловное лидерство по числу и резонансности нападений принадлежит коллективу LockBit, на счету которых более тысячи жертв из числа компаний в сфере авиации, энергетики и консалтинга.
Не менее впечатляюще выглядит и география активности группы, которая охватывает США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы.
Как правило, операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы.
Первоначальный доступ реализуется через RDP или путем эксплуатации уязвимостей, внутри контура используются известные инструменты PsExec, Empire, Mimikatz.
Исследователи ЛК полагают, что вымогатели продолжают оставаться одной из ключевых угроз. При этом их техники и тактики во многом совпадают и не меняются в течение долгого периода времени.
Результаты достаточно глубокой аналитики по ransomware нашли отражение в отчете в совокупности с массой полезной другой информации и рекомендациями, которые следует учитывать в первую очередь, при противодействии этому типу угроз руководителям и специалистам ИБ.
При этом львиная доля всех таргетированных атак шифровальщиков приходится на восемь крупных групп.
Всё они были представлены и подробно описаны командой Kaspersky Threat Intelligence в аналитическом отчете Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков.
Передовые позиции на ландшафте угроз сохранили Clop (TA 505), Hive, Lockbit, RagnarLocker, BlackByte и BlackCat, причём две последние стали активно атаковать с осени 2021 года.
Безусловное лидерство по числу и резонансности нападений принадлежит коллективу LockBit, на счету которых более тысячи жертв из числа компаний в сфере авиации, энергетики и консалтинга.
Не менее впечатляюще выглядит и география активности группы, которая охватывает США, Китай, Индия, Индонезия, а также страны Центральной и Северо-Западной Европы.
Как правило, операторы используют стандартные для вымогателей векторы начального проникновения и утилиты для «работы» внутри инфраструктуры жертвы.
Первоначальный доступ реализуется через RDP или путем эксплуатации уязвимостей, внутри контура используются известные инструменты PsExec, Empire, Mimikatz.
Исследователи ЛК полагают, что вымогатели продолжают оставаться одной из ключевых угроз. При этом их техники и тактики во многом совпадают и не меняются в течение долгого периода времени.
Результаты достаточно глубокой аналитики по ransomware нашли отражение в отчете в совокупности с массой полезной другой информации и рекомендациями, которые следует учитывать в первую очередь, при противодействии этому типу угроз руководителям и специалистам ИБ.
Ни для кого не секрет, что Швейцарский мессенджер Threema весьма популярен и используется преимущественно более 10 лет как безопасная альтернатива WhatsApp.
После того как Facebook (*признана в РФ экстремистской) приобрела WhatsApp и поменяла политику конфиденциальности, внимание пользователей к швейцарскому мессенджеру еще более усилилось.
Использующий Threema канцлер Германии Олаф Шольц не даст соврать.
Как оказалось, обещание максимальной безопасности, несопоставимой по уровню ни с одним другим мессенджером-конкурентом, в реальности и остается только лозунгом, не выдержавшим проверки в реальной жизни.
Даже не смотря на то, что мессенджер в 2019 году получил широкое признание, а федеральная администрация Швейцарии одобрила использование Threema для контента с классификацией «конфиденциально».
Именно к такому выводу пришла исследовательская группа под руководством профессора Кеннета Патерсона из ETH (швейцарского государственного исследовательского университета).
Как выяснилось, в концепции шифрования Threema присутствуют фундаментальные недостатки. Более того, методы шифрования технологически отстают на несколько лет.
Группа исследователей опубликовала подробное описанием 7 уязвимостей в криптографических протоколах Threema.
Их эксплуатация могла позволить злоумышленникам клонировать учетные записи, читать переписку, красть закрытые ключи и контакты, а также воспроизводить компрометирующие материалы в целях дальнейшего шантажа.
Со швейцарской точностью Threema немедленно отреагировала и выпустила новый протокол под названием Ibex, который делает ряд проблем устаревшими и не актуальными, а остальные обнаруженные недостатки исправила в течение нескольких недель.
В своем блоге разработчики занизили число ошибок, указанных в исследовании, пояснив что уязвимости были обнаружены в протоколе, который Threema больше не использует.
Кроме того, отметили, что обнаруженные ошибки могут быть интересными с теоретической точки зрения, ни одна из них не оказала существенного влияния в реальном мире.
Однако, это не отменяет их существования.
После того как Facebook (*признана в РФ экстремистской) приобрела WhatsApp и поменяла политику конфиденциальности, внимание пользователей к швейцарскому мессенджеру еще более усилилось.
Использующий Threema канцлер Германии Олаф Шольц не даст соврать.
Как оказалось, обещание максимальной безопасности, несопоставимой по уровню ни с одним другим мессенджером-конкурентом, в реальности и остается только лозунгом, не выдержавшим проверки в реальной жизни.
Даже не смотря на то, что мессенджер в 2019 году получил широкое признание, а федеральная администрация Швейцарии одобрила использование Threema для контента с классификацией «конфиденциально».
Именно к такому выводу пришла исследовательская группа под руководством профессора Кеннета Патерсона из ETH (швейцарского государственного исследовательского университета).
Как выяснилось, в концепции шифрования Threema присутствуют фундаментальные недостатки. Более того, методы шифрования технологически отстают на несколько лет.
Группа исследователей опубликовала подробное описанием 7 уязвимостей в криптографических протоколах Threema.
Их эксплуатация могла позволить злоумышленникам клонировать учетные записи, читать переписку, красть закрытые ключи и контакты, а также воспроизводить компрометирующие материалы в целях дальнейшего шантажа.
Со швейцарской точностью Threema немедленно отреагировала и выпустила новый протокол под названием Ibex, который делает ряд проблем устаревшими и не актуальными, а остальные обнаруженные недостатки исправила в течение нескольких недель.
В своем блоге разработчики занизили число ошибок, указанных в исследовании, пояснив что уязвимости были обнаружены в протоколе, который Threema больше не использует.
Кроме того, отметили, что обнаруженные ошибки могут быть интересными с теоретической точки зрения, ни одна из них не оказала существенного влияния в реальном мире.
Однако, это не отменяет их существования.
Threema
Statement on ETH Findings
This is a statement on the NZZ news article from January 9, 2023 about alleged weaknesses in Threema's encryption. But these are completely impractical and theoretical.
ESET сообщает о новой кампании StrongPity, в рамках которой APT распространяет поддельное приложение Shagle, которое представляет собой троянскую версию Telegram для Android с добавлением бэкдора.
Shagle — это платформа для проведения случайных видеочатов, позволяющая незнакомцам общаться по зашифрованному каналу связи. Тем не менее, платформа полностью веб-ориентирована и не имеет мобильного приложения.
Ресерчеры выяснили, что с 2021 года StrongPity запустили поддельный веб-сайт Shagle, обманом заставляя жертв загружать вредоносное приложение для Android, которое после установки вести шпионаж за целями, включая перехват телефонных звонков, SMS и копирование списка контактов.
Однако первое подтвержденное обнаружение APK приложения в дикой природе произошло в июле 2022 года.
На основании сходства кода с прошлыми полезными нагрузками активность StrongPity приписывается APT-группе, также известной как Promethium или APT-C-41, ранее замеченной в распространении троянских установщиков Notepad++ и вредоносных версий WinRAR и TrueCrypt.
Кроме того, приложение для Android подписано тем же сертификатом, который APT использовала для подписи имитирующего сирийское приложение электронного правительства для Android в ходе кампании 2021 года.
Вредоносное приложение для Android, распространяемое StrongPity, вероятно, через адресную фишинговую рассылку, представляет собой стандартное приложение Telegram версии 7.5.0 (февраль 2022 г.) в виде APK-файла video.apk, модифицированное для Shagle.
При этом если у жертвы уже установлено легитимно приложение Telegram на телефоне, то инсталляция версии с бэкдором не запустится.
После установки вредоносное ПО запрашивает доступ к службе спецвозможностей, а затем получает файл, зашифрованный с помощью AES, с C2 злоумышленника.
Файл включает 11 бинарных модулей, извлекаемых на устройство и используемых бэкдором для выполнения различных функций: от записи телефонных переговоров (libarm.jar) до контроля за перепиской в Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и др.(phone.jar).
Собранные данные хранятся в каталоге приложения, шифруются с помощью AES и в конечном итоге отправляются обратно на С2 злоумышленника.
На «рутированных» устройствах вредоносная ПО автоматически предоставляет себе разрешение на изменение настроек безопасности, запись в файловую систему, перезагрузку и другие ключевые функции.
Согласно ESET, к настоящему времени API в захваченных образцах уже отвалился из-за чрезмерного использования, указывает на то, что StrongPity успешно развернул вредоносное ПО на целевых жертвах.
Таким образом, учитывая, что StrongPity активна с 2012 года, злоумышленник продолжает использовать проверенную тактику даже спустя десятилетие.
Shagle — это платформа для проведения случайных видеочатов, позволяющая незнакомцам общаться по зашифрованному каналу связи. Тем не менее, платформа полностью веб-ориентирована и не имеет мобильного приложения.
Ресерчеры выяснили, что с 2021 года StrongPity запустили поддельный веб-сайт Shagle, обманом заставляя жертв загружать вредоносное приложение для Android, которое после установки вести шпионаж за целями, включая перехват телефонных звонков, SMS и копирование списка контактов.
Однако первое подтвержденное обнаружение APK приложения в дикой природе произошло в июле 2022 года.
На основании сходства кода с прошлыми полезными нагрузками активность StrongPity приписывается APT-группе, также известной как Promethium или APT-C-41, ранее замеченной в распространении троянских установщиков Notepad++ и вредоносных версий WinRAR и TrueCrypt.
Кроме того, приложение для Android подписано тем же сертификатом, который APT использовала для подписи имитирующего сирийское приложение электронного правительства для Android в ходе кампании 2021 года.
Вредоносное приложение для Android, распространяемое StrongPity, вероятно, через адресную фишинговую рассылку, представляет собой стандартное приложение Telegram версии 7.5.0 (февраль 2022 г.) в виде APK-файла video.apk, модифицированное для Shagle.
При этом если у жертвы уже установлено легитимно приложение Telegram на телефоне, то инсталляция версии с бэкдором не запустится.
После установки вредоносное ПО запрашивает доступ к службе спецвозможностей, а затем получает файл, зашифрованный с помощью AES, с C2 злоумышленника.
Файл включает 11 бинарных модулей, извлекаемых на устройство и используемых бэкдором для выполнения различных функций: от записи телефонных переговоров (libarm.jar) до контроля за перепиской в Messenger, Viber, Skype, WeChat, Snapchat, Tinder, Instagram, Twitter, Gmail и др.(phone.jar).
Собранные данные хранятся в каталоге приложения, шифруются с помощью AES и в конечном итоге отправляются обратно на С2 злоумышленника.
На «рутированных» устройствах вредоносная ПО автоматически предоставляет себе разрешение на изменение настроек безопасности, запись в файловую систему, перезагрузку и другие ключевые функции.
Согласно ESET, к настоящему времени API в захваченных образцах уже отвалился из-за чрезмерного использования, указывает на то, что StrongPity успешно развернул вредоносное ПО на целевых жертвах.
Таким образом, учитывая, что StrongPity активна с 2012 года, злоумышленник продолжает использовать проверенную тактику даже спустя десятилетие.
WeLiveSecurity
StrongPity espionage campaign targeting Android users
ESET researchers uncover an active StrongPity campaign that spreads a trojanized version of the Android Telegram app posing as the Shagle video chat app.
Не менее 29 уязвимостей безопасности исправили разработчики Adobe в линейке своих корпоративных продуктов, выпустив первую партию исправлений безопасности на 2023 год.
Самое заметное обновление для широко распространенного ПО Adobe Acrobat и Reader устраняет критические недостатки, которые подвергают пользователей Windows и macOS атакам с RCE.
Согласно Adobe PSIRT, проблемы безопасности также затрагивают Acrobat DC, Acrobat Reader DC, Acrobat 2020 и Acrobat Reader 2020. Успешная эксплуатация может привести RCE, DoS, повышению привилегий и утечке памяти.
Компания задокументировала 15 наиболее серьезных недостатков безопасности в программах Acrobat и Reader и призывает пользователей немедленно установить доступные обновления.
Adobe также выпустила исправления критических ошибок в продукте Adobe InDesign, предупредив, что успешная эксплуатация может привести к RCE, DoS и утечкам памяти. При этом шесть задокументированных уязвимостей затрагивают пользователей на платформах Windows и macOS.
Кроме того, январский патч включает исправления серьезных ошибок в Adobe InCopy и Adobe Dimension. Эти недостатки могут подвергать пользователей Windows и macOS выполнению произвольного кода и утечкам памяти.
Adobe отмечает, что ей не известно о каких-либо эксплойтах для каких-либо из исправленных уязвимостей.
Самое заметное обновление для широко распространенного ПО Adobe Acrobat и Reader устраняет критические недостатки, которые подвергают пользователей Windows и macOS атакам с RCE.
Согласно Adobe PSIRT, проблемы безопасности также затрагивают Acrobat DC, Acrobat Reader DC, Acrobat 2020 и Acrobat Reader 2020. Успешная эксплуатация может привести RCE, DoS, повышению привилегий и утечке памяти.
Компания задокументировала 15 наиболее серьезных недостатков безопасности в программах Acrobat и Reader и призывает пользователей немедленно установить доступные обновления.
Adobe также выпустила исправления критических ошибок в продукте Adobe InDesign, предупредив, что успешная эксплуатация может привести к RCE, DoS и утечкам памяти. При этом шесть задокументированных уязвимостей затрагивают пользователей на платформах Windows и macOS.
Кроме того, январский патч включает исправления серьезных ошибок в Adobe InCopy и Adobe Dimension. Эти недостатки могут подвергать пользователей Windows и macOS выполнению произвольного кода и утечкам памяти.
Adobe отмечает, что ей не известно о каких-либо эксплойтах для каких-либо из исправленных уязвимостей.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB23-01
Forwarded from SecurityLab.ru
— Недавно стало известно о том, что новая нейросеть VALL-E от корпорации Microsoft способна подделывать голос конкретного человека вплоть до интонаций.
— Для системы достаточно записи продолжительностью три секунды, чтобы получить высококачественную подделку.
— Согласно заявлению Microsoft, VALL-E не будет распространятся в открытом доступе по соображениям безопасности, чтобы нейросетью не воспользовались мошенники.
https://www.securitylab.ru/news/535565.php
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Нейросеть от Microsoft способна подделать голос любого человека
Для создания образца голоса, нейросети хватит всего трехсекундного образца.
Group-IB расчехлила Dark Pink APT, причастную к атакам на правительственные учреждения и военные объекты в Азиатско-Тихоокеанском регионе с помощью специального вредоносного ПО для кражи информации.
Ранее АРТ уже попадала в поле зрения китайских ресерчеров из Anheng Hunting Labs, которые отслеживают группировку как Saaiwc Group. В отчете описываются некоторые цепочки атак, одна из которых реализована на использовании шаблона Microsoft Office с вредоносным макросов для эксплуатации старой и опасной CVE-2017-0199.
Group-IB отметила, что Dark Pink свойственны уникальные TTP, а обнаруженный в атаках пользовательский набор инструментов может использоваться для кражи информации и распространения вредоносных ПО через USB-накопители.
Злоумышленник использует неопубликованную загрузку DLL и методы запуска по событию для извлечения полезных нагрузок в системах жертв.
Цель злоумышленника — кража информации из браузеров, получение доступа к мессенджерам, эксфильтрация документов и перехват акустической информации с микрофона зараженного устройства.
Как полагают ресерчеры, за период с июня по декабрь 2022 года Dark Pink удалось реализовать не менее семи успешных атак.
Типичный первоначальный вектор атак Dark Pink — фишинговые электронные письма по теме приема на работу, которые обманным путем заставляли жертву загружать вредоносный файл образа ISO.
Но были выявлены и другие варианты цепочки атак. В частности, актор также применял ISO-файл с документ-приманкой, подписанным исполняемым файлом и вредоносным DLL, что приводило к развертыванию одного из двух пользовательских стиллеров посредством боковой загрузки DLL.
Cucky и Ctealer — это специальные ПО для кражи информации, написанные на .NET и C++ соответственно, нацеленные на извлечение паролей, истории просмотров, сохраненных логиной и файлов cookie из всех известных веб-браузеров.
На следующем этапе сбрасывался имплантант реестра под названием TelePowerBot, который запускается через скрипт при загрузке системы и подключается к каналу Telegram, откуда он получает команды PowerShell для выполнения.
Как правило, команды позволяют запускать простые консольные инструменты или сложные сценарии PowerShell, обеспечивающие боковое перемещение через съемные USB-накопители.
Другой вариант включал документ Microsoft Office (.DOC) внутри файла ISO, при открытии которого с GitHub извлекался шаблон с вредоносным макросом, который реализовывал загрузку TelePowerBot и внесение изменений в реестр Windows.
Третья цепочка атак, практиковавшаяся в декабре 2022 года, была идентична первой. Однако вместо TelePowerBot загружалось другое специальное вредоносное ПО, которое исследователи называют KamiKakaBot, предназначенный для выполнения команд.
KamiKakaBot — это .NET-версия TelePowerBot, которая также обладает возможностями кражи информации, нацеленной на данные, хранящиеся в браузерах на основе Chrome и Firefox.
Помимо названных инструментов Dark Pink также использовали скрипт для записи звука через микрофон в минутном интервале. Данные сохраняются в виде ZIP-архива во временной папке Windows, после чего передаются через Telegram-бот.
Кроме того, злоумышленник использовал специальную утилиту ZMsg для эксфильтрации информации из мессенджеров, которая крадет переписку из Viber, Telegram и Zalo.
Результаты анализа активности Dark Pink позволили с высокой вероятностью Group-IB констатировать успех семи атак, однако исследователи полагают, что их могло быть значительно больше.
Ранее АРТ уже попадала в поле зрения китайских ресерчеров из Anheng Hunting Labs, которые отслеживают группировку как Saaiwc Group. В отчете описываются некоторые цепочки атак, одна из которых реализована на использовании шаблона Microsoft Office с вредоносным макросов для эксплуатации старой и опасной CVE-2017-0199.
Group-IB отметила, что Dark Pink свойственны уникальные TTP, а обнаруженный в атаках пользовательский набор инструментов может использоваться для кражи информации и распространения вредоносных ПО через USB-накопители.
Злоумышленник использует неопубликованную загрузку DLL и методы запуска по событию для извлечения полезных нагрузок в системах жертв.
Цель злоумышленника — кража информации из браузеров, получение доступа к мессенджерам, эксфильтрация документов и перехват акустической информации с микрофона зараженного устройства.
Как полагают ресерчеры, за период с июня по декабрь 2022 года Dark Pink удалось реализовать не менее семи успешных атак.
Типичный первоначальный вектор атак Dark Pink — фишинговые электронные письма по теме приема на работу, которые обманным путем заставляли жертву загружать вредоносный файл образа ISO.
Но были выявлены и другие варианты цепочки атак. В частности, актор также применял ISO-файл с документ-приманкой, подписанным исполняемым файлом и вредоносным DLL, что приводило к развертыванию одного из двух пользовательских стиллеров посредством боковой загрузки DLL.
Cucky и Ctealer — это специальные ПО для кражи информации, написанные на .NET и C++ соответственно, нацеленные на извлечение паролей, истории просмотров, сохраненных логиной и файлов cookie из всех известных веб-браузеров.
На следующем этапе сбрасывался имплантант реестра под названием TelePowerBot, который запускается через скрипт при загрузке системы и подключается к каналу Telegram, откуда он получает команды PowerShell для выполнения.
Как правило, команды позволяют запускать простые консольные инструменты или сложные сценарии PowerShell, обеспечивающие боковое перемещение через съемные USB-накопители.
Другой вариант включал документ Microsoft Office (.DOC) внутри файла ISO, при открытии которого с GitHub извлекался шаблон с вредоносным макросом, который реализовывал загрузку TelePowerBot и внесение изменений в реестр Windows.
Третья цепочка атак, практиковавшаяся в декабре 2022 года, была идентична первой. Однако вместо TelePowerBot загружалось другое специальное вредоносное ПО, которое исследователи называют KamiKakaBot, предназначенный для выполнения команд.
KamiKakaBot — это .NET-версия TelePowerBot, которая также обладает возможностями кражи информации, нацеленной на данные, хранящиеся в браузерах на основе Chrome и Firefox.
Помимо названных инструментов Dark Pink также использовали скрипт для записи звука через микрофон в минутном интервале. Данные сохраняются в виде ZIP-архива во временной папке Windows, после чего передаются через Telegram-бот.
Кроме того, злоумышленник использовал специальную утилиту ZMsg для эксфильтрации информации из мессенджеров, которая крадет переписку из Viber, Telegram и Zalo.
Результаты анализа активности Dark Pink позволили с высокой вероятностью Group-IB констатировать успех семи атак, однако исследователи полагают, что их могло быть значительно больше.
Group-IB
Dark Pink: New APT group targets governmental, military organizations in APAC, Europe
Group-IB, one of the global cybersecurity leaders, has today published its findings into Dark Pink, an ongoing advanced persistent threat (APT) campaign launched against high-profile targets in Cambodia, Indonesia, Malaysia, Philippines, Vietnam, and Bosnia…
Google объявила о выпуске Chrome 109 в стабильном канале с исправлениями 17 уязвимостей, в том числе 14 ошибок, о которых сообщили внешние исследователи.
Большинство из них относятся к недостаткам средней и низкой степени серьезности, и только две представляют собой ошибки высокой степени серьезности.
К ним относятся проблема использования после освобождения в обзорном режиме (CVE-2023-0128) и ошибка переполнения буфера кучи в сетевой службе (CVE-2023-0129).
Первую 16 августа 2022 года обнаружил ресерчер Халил Жани, о второй сообщил Asnine 7 ноября 2022 года.
Google заявляет, что выплатила им вознаграждение за обнаружение этих уязвимостей в размере 4000 и 2000 долларов соответственно.
В последней версии браузера было устранено в общей сложности восемь ошибок средней степени серьезности, пять из которых представляют собой проблемы реализации в компонентах Chrome, таких как API, песочница Iframe и запросы разрешений.
Оставшиеся проблемы включают две уязвимости использования после освобождения в корзине и ошибку переполнения буфера кучи в Platform Apps.
Chrome 109 также включает исправления четырех уязвимостей низкой степени серьезности, о которых сообщалось извне.
Google отмечает, что самая высокая награда за обнаружение ошибок была выплачена за одну из проблем с низким уровнем серьезности - CVE-2023-0138, ошибку переполнения буфера кучи в компоненте libphonenumber.
Исследователь получил вознаграждение в размере 8000 долларов, при этом самая высокая награда за ошибку средней серьезности составила 5000 долларов.
В общей сложности Google выплатила 39 000 долларов США исследователям, сообщившим об ошибках, но окончательная сумма может быть выше, поскольку компании еще предстоит определить вознаграждение за одну из проблем средней серьезности.
Chrome в настоящее время доступен в последней версии 109.0.5414.74 для Linux, 109.0.5414.74/.75 для Windows и 109.0.5414.87 для macOS.
Разработчик не упомянул об использовании какой-либо из этих уязвимостей в вредоносных атаках.
Большинство из них относятся к недостаткам средней и низкой степени серьезности, и только две представляют собой ошибки высокой степени серьезности.
К ним относятся проблема использования после освобождения в обзорном режиме (CVE-2023-0128) и ошибка переполнения буфера кучи в сетевой службе (CVE-2023-0129).
Первую 16 августа 2022 года обнаружил ресерчер Халил Жани, о второй сообщил Asnine 7 ноября 2022 года.
Google заявляет, что выплатила им вознаграждение за обнаружение этих уязвимостей в размере 4000 и 2000 долларов соответственно.
В последней версии браузера было устранено в общей сложности восемь ошибок средней степени серьезности, пять из которых представляют собой проблемы реализации в компонентах Chrome, таких как API, песочница Iframe и запросы разрешений.
Оставшиеся проблемы включают две уязвимости использования после освобождения в корзине и ошибку переполнения буфера кучи в Platform Apps.
Chrome 109 также включает исправления четырех уязвимостей низкой степени серьезности, о которых сообщалось извне.
Google отмечает, что самая высокая награда за обнаружение ошибок была выплачена за одну из проблем с низким уровнем серьезности - CVE-2023-0138, ошибку переполнения буфера кучи в компоненте libphonenumber.
Исследователь получил вознаграждение в размере 8000 долларов, при этом самая высокая награда за ошибку средней серьезности составила 5000 долларов.
В общей сложности Google выплатила 39 000 долларов США исследователям, сообщившим об ошибках, но окончательная сумма может быть выше, поскольку компании еще предстоит определить вознаграждение за одну из проблем средней серьезности.
Chrome в настоящее время доступен в последней версии 109.0.5414.74 для Linux, 109.0.5414.74/.75 для Windows и 109.0.5414.87 для macOS.
Разработчик не упомянул об использовании какой-либо из этих уязвимостей в вредоносных атаках.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 109 to the stable channel for Windows, Mac and Linux . This will roll out ...
Исследователи Red Balloon Security обнаружили потенциально серьезную непропатченную уязвимость, затрагивающую многие модели ПЛК Siemens.
Имеющая средний рейтинг серьезности CVE-2022-38773 может позволить злоумышленнику обойти функции защищенной загрузки, изменять рабочий код и данные контроллера.
По мнению ресерчеров Red Balloon Security, ошибка обусловлена архитектурными проблемами, затрагивающими процессоры Siemens Simatic и Siplus S7-1500.
Специализированная система SoC Siemens не устанавливает RoT в процессе ранней загрузки, вызывая отсутствие асимметричных проверок подписи для всех этапов загрузчика и прошивки перед выполнением.
Неспособность установить Root of Trust на устройстве позволяет злоумышленникам загружать модифицированный загрузчик и прошивку - выполнять и обходить функции защиты от несанкционированного доступа и проверки целостности на устройстве.
Согласно Red Balloon, злоумышленник может расшифровать прошивку затронутых ПЛК и создать собственную загрузочную вредоносную прошивку на более чем 100 моделях устройств.
Для использования уязвимости требуется физический доступ к целевому ПЛК. Однако, как отметили исследователи, хакер может использовать другую RCE-уязвимость для развертывания вредоносной прошивки на устройстве.
Siemens проинформировала клиентов об уязвимости, порекомендовав принять меры, гарантирующие доступ к физическому оборудованию лишь доверенному персоналу.
При этом производитель отдельно уведомил клиентов о том, что уязвимость не может быть устранена с помощью обновления прошивки и к настоящему времени никаких исправлений не планируется.
Выпущены новые аппаратные версии, устраняющие проблему на некоторых затронутых процессорах, оставшиеся - в находятся в стадии разработки.
Имеющая средний рейтинг серьезности CVE-2022-38773 может позволить злоумышленнику обойти функции защищенной загрузки, изменять рабочий код и данные контроллера.
По мнению ресерчеров Red Balloon Security, ошибка обусловлена архитектурными проблемами, затрагивающими процессоры Siemens Simatic и Siplus S7-1500.
Специализированная система SoC Siemens не устанавливает RoT в процессе ранней загрузки, вызывая отсутствие асимметричных проверок подписи для всех этапов загрузчика и прошивки перед выполнением.
Неспособность установить Root of Trust на устройстве позволяет злоумышленникам загружать модифицированный загрузчик и прошивку - выполнять и обходить функции защиты от несанкционированного доступа и проверки целостности на устройстве.
Согласно Red Balloon, злоумышленник может расшифровать прошивку затронутых ПЛК и создать собственную загрузочную вредоносную прошивку на более чем 100 моделях устройств.
Для использования уязвимости требуется физический доступ к целевому ПЛК. Однако, как отметили исследователи, хакер может использовать другую RCE-уязвимость для развертывания вредоносной прошивки на устройстве.
Siemens проинформировала клиентов об уязвимости, порекомендовав принять меры, гарантирующие доступ к физическому оборудованию лишь доверенному персоналу.
При этом производитель отдельно уведомил клиентов о том, что уязвимость не может быть устранена с помощью обновления прошивки и к настоящему времени никаких исправлений не планируется.
Выпущены новые аппаратные версии, устраняющие проблему на некоторых затронутых процессорах, оставшиеся - в находятся в стадии разработки.
Redballoonsecurity
Critical Architectural Vulnerabilities in Siemens SIMATIC S7-1500 Series Allow for Bypass of All Protected Boot Features – Red…
Recently, we improved the OFRAK Python package and dependency handling, resulting in the quicker installation of more functionality.
В своем последнем отчете Crowdstrike сообщают, как Scattered Spider пытались реализовать BYOVD с использованием старого драйвера Intel для обхода Microsoft Defender for Endpoint, Palo Alto Networks Cortex XDR и SentinelOne.
В ходе атаки Bring Your Own Vulnerable Driver финансово мотивированный злоумышленник разворачивал диагностические драйверы Intel Ethernet, который, как известно, уязвим для эксплойтов и позволяет получить наивысшие привилегий в Windows.
Новую тактику удалось обнаружить Crowdstrike сразу после выхода предыдущего отчета в деятельности отношении Scattered Spider в начале декабря прошлого года.
По данным ресерчеров, актор с июня 2022 года нацелен на телекоммуникационные и аутсорсинговые компании фирмы для получения доступа к сетям операторов мобильной связи.
К слову, атаки BYOVD для обеспечения своих вторжений с повышенными привилегиями Windows уже давно практикуют банда вымогателей BlackByte и северокорейская Lazarus.
Ресерчеры сообщают, что на этот раз Scattered Spider пытался эксплуатировать CVE-2015-2291 - уязвимость высокой степени серьезности в диагностическом драйвере Intel Ethernet, которая позволяет злоумышленнику выполнять произвольный код с привилегиями ядра, используя специально созданные вызовы.
Несмотря на то, что ошибка была исправлена еще в 2015 году, благодаря инсталляции более старой, все еще уязвимой, версии на взломанные устройства злоумышленники могут успешно применять уязвимость независимо от того, какие обновления были применены жертвой.
Используемый Scattered Spider образец представляет собой 64-битный драйвер ядра с 35 функциями, подписанный различными украденными в центрах подписи NVIDIA и Global Software LLC сертификатами. Он необходим для отключения средств защиты, закладывая основу для последующих этапов их работы в целевых сетях.
При запуске драйвер расшифровывает жестко закодированную строку целевых защитных решений и исправляет целевые драйверы с жестко запрограммированными смещениями.
Чтобы продукты безопасности конечных точек не блокировали вредоносную активность, драйвер повторяет загруженные модули ядра для компонента ПО безопасности и исправляет его в памяти.
Не взирая на то, что выявленная активность Scattered Spider направлена на конкретные цели, CrowdStrike рекомендует специалистам ИБ следует сканировать системы и применять исправления для всех известных уязвимостей в рамках усиления защиты от подобного рода угроз.
В ходе атаки Bring Your Own Vulnerable Driver финансово мотивированный злоумышленник разворачивал диагностические драйверы Intel Ethernet, который, как известно, уязвим для эксплойтов и позволяет получить наивысшие привилегий в Windows.
Новую тактику удалось обнаружить Crowdstrike сразу после выхода предыдущего отчета в деятельности отношении Scattered Spider в начале декабря прошлого года.
По данным ресерчеров, актор с июня 2022 года нацелен на телекоммуникационные и аутсорсинговые компании фирмы для получения доступа к сетям операторов мобильной связи.
К слову, атаки BYOVD для обеспечения своих вторжений с повышенными привилегиями Windows уже давно практикуют банда вымогателей BlackByte и северокорейская Lazarus.
Ресерчеры сообщают, что на этот раз Scattered Spider пытался эксплуатировать CVE-2015-2291 - уязвимость высокой степени серьезности в диагностическом драйвере Intel Ethernet, которая позволяет злоумышленнику выполнять произвольный код с привилегиями ядра, используя специально созданные вызовы.
Несмотря на то, что ошибка была исправлена еще в 2015 году, благодаря инсталляции более старой, все еще уязвимой, версии на взломанные устройства злоумышленники могут успешно применять уязвимость независимо от того, какие обновления были применены жертвой.
Используемый Scattered Spider образец представляет собой 64-битный драйвер ядра с 35 функциями, подписанный различными украденными в центрах подписи NVIDIA и Global Software LLC сертификатами. Он необходим для отключения средств защиты, закладывая основу для последующих этапов их работы в целевых сетях.
При запуске драйвер расшифровывает жестко закодированную строку целевых защитных решений и исправляет целевые драйверы с жестко запрограммированными смещениями.
Чтобы продукты безопасности конечных точек не блокировали вредоносную активность, драйвер повторяет загруженные модули ядра для компонента ПО безопасности и исправляет его в памяти.
Не взирая на то, что выявленная активность Scattered Spider направлена на конкретные цели, CrowdStrike рекомендует специалистам ИБ следует сканировать системы и применять исправления для всех известных уязвимостей в рамках усиления защиты от подобного рода угроз.
CrowdStrike.com
SCATTERED SPIDER Attempts to Avoid Detection with Bring-Your-Own-Driver Tactic
Learn how CrowdStrike detected SCATTERED SPIDER's attempt to deploy a malicious driver through a vulnerability (CVE-2015-2291) in the Intel Ethernet diagnostics driver.
Forwarded from Russian OSINT
Специалисты Withsecure (корпорация F-Secure) опубликовали исследование, где рассказывают о том, как искусственный интеллект может повлиять на технологии, используемые злоумышленниками в корыстных целях: spear phishing, cоздание фейковой истории компании (легендирование), мошенническая реклама и производство фейковых новостных статей.
https://labs.withsecure.com/content/dam/labs/docs/WithSecure-Creatively-malicious-prompt-engineering.pdf
🤔 GPT-3 может производить фейковые новости, как на конвейере. Западные исследователи протестировали создание фейков в отношении конфликта Россия-Украина, "Северный Поток" и многое другое.
*ChatGPT — это чат-бот с искусственным интеллектом, разработанный компанией OpenAI и способный работать в диалоговом режиме, поддерживаюший запросы на различных языках.
Please open Telegram to view this post
VIEW IN TELEGRAM
Критическая CVE-2022-44877 с оценкой серьезности 9,8 из 10, недавно исправленная в Control Web Panel (ранее известном как CentOS Web Panel), позволяющая злоумышленнику удаленно выполнять код без аутентификации, активно эксплуатируется в дикой природе.
Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.
Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.
Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.
В Shadowserver заявили, что «эксплуатация тривиальна».
По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.
GreyNoise заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.
При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.
В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.
Веб-панель управления, ранее известная как веб-панель CentOS, является популярным инструментом администрирования серверов для корпоративных систем Linux.
Ошибка затрагивает все версии программного обеспечения до 0.9.8.1147 и была исправлена ее сопровождающими 25 октября 2022 года и позволяет удаленным злоумышленникам выполнять произвольные команды ОС с помощью метасимволов оболочки в параметре входа в систему.
Сообщивший о проблеме в октябре прошлого года, исследователь Нуман Тюрле из Gais Cyber Security 3 января опубликовал экспериментальный эксплойт (PoC) и демонстрационный видеоролик, а три дня спустя исследователи Shadowserver Foundation и GreyNoise заметили, что хакеры принялись к использованию уязвимости.
В Shadowserver заявили, что «эксплуатация тривиальна».
По их данным, злоумышленники находят уязвимые хосты и используют CVE-2022-44877 для создания терминала для взаимодействия с машиной. Другие атаки были направлены на идентификацию уязвимых машин.
GreyNoise заявила, что ими обнаружено четыре уникальных IP-адреса, пытающихся использовать CVE-2022-44877, два из которых - в США и по одному - в Нидерландах и Таиланде.
При этом все попытки эксплуатации основаны на оригинальном общедоступном PoC, который был слегка модифицирован для решения задач злоумышленника.
В связи с активной эксплуатацией в дикой природе пользователям, администраторам рекомендуется принять незамедлительные меры и обновить CWP до последней доступной версии, в настоящее время 0.9.8.1148, выпущенной 1 декабря 2022 года.
YouTube
Centos Web Panel 7 Unauthenticated Remote Code Execution - CVE-2022-44877
https://github.com/numanturle/CVE-2022-44877
Топовый двухдиапазонный игровой маршрутизатор Asus RT-AX82U подвержен трем критическим уязвимостям, которые можно использовать для обхода аутентификации, утечки информации или вызова состояния отказа в обслуживании (DoS).
Маршрутизатор можно настроить через HTTP-сервер, который работает в локальной сети, но также поддерживает удаленное управление и мониторинг.
Техническую информацию об уязвимостях опубликовали исследователи Cisco Talos, где наиболее серьезной является CVE-2022-35401 (оценка CVSS 9,0) - способ обхода аутентификации, который можно использовать с помощью серии созданных HTTP-запросов.
Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому устройству.
Проблема, кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим устройством IoT.
Эксплуатация возможна в случае если пользователь включить доступ к глобальной сети для HTTPS-сервера и сгенерировал код доступа, который позволяет удаленному веб-сайту подключаться к конечной точке на устройстве с проверкой токена каждые 2 минуты.
Как оказалось, алгоритм генерации токена подвержен атаке грубой силы, так как маршрутизатор поддерживал только 255 возможных кодов и проверка времени создания токена также была ошибочной, поскольку основывалась на времени безотказной работы устройства.
Оставшиеся две серьезные баги CVE-2022-38105 и CVE-2022-38393 представляют собой ошибки, влияющие на функциональность маршрутизатора и позволяющие настроить ячеистую сеть.
CVE-2022-38105 позволяет злоумышленнику отправлять созданные сетевые пакеты, чтобы вызвать повторяющиеся ошибки выхода за пределы и утечку данных, таких как адреса стека потоков.
Вторая проблема, существует из-за отсутствия проверки входных пакетов, что позволяет злоумышленнику вызвать потерю памяти и вызвать сбой в системе.
Три уязвимости были обнаружены в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230, о чем поставщику было сообщено еще в августе.
Понимаем, насколько редко доходят руки до установки патчей на маршрутизаторы, пользователям все же настойчиво рекомендуется обновить свои устройства до последней версии прошивки.
Маршрутизатор можно настроить через HTTP-сервер, который работает в локальной сети, но также поддерживает удаленное управление и мониторинг.
Техническую информацию об уязвимостях опубликовали исследователи Cisco Talos, где наиболее серьезной является CVE-2022-35401 (оценка CVSS 9,0) - способ обхода аутентификации, который можно использовать с помощью серии созданных HTTP-запросов.
Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому устройству.
Проблема, кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим устройством IoT.
Эксплуатация возможна в случае если пользователь включить доступ к глобальной сети для HTTPS-сервера и сгенерировал код доступа, который позволяет удаленному веб-сайту подключаться к конечной точке на устройстве с проверкой токена каждые 2 минуты.
Как оказалось, алгоритм генерации токена подвержен атаке грубой силы, так как маршрутизатор поддерживал только 255 возможных кодов и проверка времени создания токена также была ошибочной, поскольку основывалась на времени безотказной работы устройства.
Оставшиеся две серьезные баги CVE-2022-38105 и CVE-2022-38393 представляют собой ошибки, влияющие на функциональность маршрутизатора и позволяющие настроить ячеистую сеть.
CVE-2022-38105 позволяет злоумышленнику отправлять созданные сетевые пакеты, чтобы вызвать повторяющиеся ошибки выхода за пределы и утечку данных, таких как адреса стека потоков.
Вторая проблема, существует из-за отсутствия проверки входных пакетов, что позволяет злоумышленнику вызвать потерю памяти и вызвать сбой в системе.
Три уязвимости были обнаружены в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230, о чем поставщику было сообщено еще в августе.
Понимаем, насколько редко доходят руки до установки патчей на маршрутизаторы, пользователям все же настойчиво рекомендуется обновить свои устройства до последней версии прошивки.
Ресерчеры Deep Instinct обнаружили новую компанию с использованием троянов удаленного доступа (RAT) StrRAT и Ratty, операторы которых для ухода от обнаружения применяют файлы MSI/JAR и CAB/JAR.
Polyglot-файлы объединяют два или более форматов таким образом, чтобы их можно было безошибочно интерпретировать и запускать несколькими различными приложениями.
Злоумышленники добиваются уверенных успехов, даже учитывая, насколько стары и хорошо изучены обе RAT.
Уже несколько лет операторы ПО используют файлы-полиглоты, чтобы скрыть вредоносный код и обойти средства защиты. Такая техника применялась в недавнем времени и операторами вредоносной ПО StrelaStealer, нацеленной на учетные записи Outlook и Thunderbird.
И ничего удивительного, Deep Instinct в последней кампании наблюдали объединение форматов JAR и MSI в один файл, что фиксировалось еще в 2018 году.
Файлы JAR — это архивы, идентифицируемые по записи в конце, тогда как в MSI идентификатор типа файла с заголовком в начале файла, поэтому злоумышленники могут легко объединить два формата в один файл.
Двойной формат позволяет им выполняться как MSI в Windows, а также как файл JAR средой выполнения Java.
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусными инструментами. Это позволяет им скрыть вредоносный код и заставить AV просканировать MSI-часть файла, которая должна пройти проверку.
В новой кампании Deep Instinct заметили комбинации CAB/JAR вместо MSI, также связанные с упомянутыми семействами RAT. CAB-файлы также являются хорошим вариантом для многоязычных комбинаций с JAR, имея необходимый заголовок для интерпретации типа файла.
Polyglot, используемые в кампании, распространяются посредством Sendgrid и сервисов сокращения URL-адресов (Cutt.ly и Rebrand.ly), а извлеченные полезные нагрузки StrRAT и Ratty хранятся в Discord.
Что же касается обнаружения CAB/JAR, то уровень колеблется от 10% до 50% (6 положительных результатов из 59 антивирусных ядер на Virus Total, у варианта с MSI - 30).
Deep Instinct сообщает, что многие из задетектированных Polyglot как для StrRAT, так и для Ratty используют один и тот же C2 и размещаются у одной и той же болгарской хостинговой компании.
Таким образом, вполне, что оба штамма используются в рарках одной кампании, проводимой одним и тем же оператором.
Polyglot-файлы объединяют два или более форматов таким образом, чтобы их можно было безошибочно интерпретировать и запускать несколькими различными приложениями.
Злоумышленники добиваются уверенных успехов, даже учитывая, насколько стары и хорошо изучены обе RAT.
Уже несколько лет операторы ПО используют файлы-полиглоты, чтобы скрыть вредоносный код и обойти средства защиты. Такая техника применялась в недавнем времени и операторами вредоносной ПО StrelaStealer, нацеленной на учетные записи Outlook и Thunderbird.
И ничего удивительного, Deep Instinct в последней кампании наблюдали объединение форматов JAR и MSI в один файл, что фиксировалось еще в 2018 году.
Файлы JAR — это архивы, идентифицируемые по записи в конце, тогда как в MSI идентификатор типа файла с заголовком в начале файла, поэтому злоумышленники могут легко объединить два формата в один файл.
Двойной формат позволяет им выполняться как MSI в Windows, а также как файл JAR средой выполнения Java.
JAR-файлы не являются исполняемыми файлами, поэтому они не так тщательно проверяются антивирусными инструментами. Это позволяет им скрыть вредоносный код и заставить AV просканировать MSI-часть файла, которая должна пройти проверку.
В новой кампании Deep Instinct заметили комбинации CAB/JAR вместо MSI, также связанные с упомянутыми семействами RAT. CAB-файлы также являются хорошим вариантом для многоязычных комбинаций с JAR, имея необходимый заголовок для интерпретации типа файла.
Polyglot, используемые в кампании, распространяются посредством Sendgrid и сервисов сокращения URL-адресов (Cutt.ly и Rebrand.ly), а извлеченные полезные нагрузки StrRAT и Ratty хранятся в Discord.
Что же касается обнаружения CAB/JAR, то уровень колеблется от 10% до 50% (6 положительных результатов из 59 антивирусных ядер на Virus Total, у варианта с MSI - 30).
Deep Instinct сообщает, что многие из задетектированных Polyglot как для StrRAT, так и для Ratty используют один и тот же C2 и размещаются у одной и той же болгарской хостинговой компании.
Таким образом, вполне, что оба штамма используются в рарках одной кампании, проводимой одним и тем же оператором.
Deep Instinct
Malicious JARs and Polyglot files: “Who do you think you JAR?” | Deep Instinct
Throughout 2022, Deep Instinct observed various combinations of polyglot files with malicious JARs. The initial technique dates to around 2018 when it used signed MSI files to bypass Microsoft code signing verification. A year later, in 2019, Virus Total…
Forwarded from Social Engineering
🗞 The Privacy, Security, & OSINT Magazine.
• Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот».
• Журнал является бесплатным и содержит множество различных статей касательно безопасности в сети и OSINT. Приятного чтения.
📌 Скачать | Читать журнал: https://inteltechniques.com/issues/005.pdf
🧷 Описание и предыдущие выпуски: https://inteltechniques.com/magazine.html
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #OSINT
🖖🏻 Приветствую тебя user_name.
• В этом месяце в сети появился пятый выпуск журнала "UNREDACTED Magazine", автором которого является Michael Bazzell.• Для тех кто не знаком с автором, Майкл является знаковой фигурой в сфере #OSINT, работал в правительстве США и ФБР, его приглашали в качестве технического эксперта в сериал «Мистер Робот».
• Журнал является бесплатным и содержит множество различных статей касательно безопасности в сети и OSINT. Приятного чтения.
📌 Скачать | Читать журнал: https://inteltechniques.com/issues/005.pdf
🧷 Описание и предыдущие выпуски: https://inteltechniques.com/magazine.html
S.E. ▪️ S.E.Relax ▪️ infosec.work ▪️ #OSINT
Большинство инсталляций Cacti в Интернете не исправлены и уязвимы для критической RCE-ошибки, которая активно эксплуатируется в ходе реальных атак.
Веб-инструмент для оперативного мониторинга и управления неисправностями с открытым исходным кодом Cacti представляет собой интерфейсное приложение для утилиты регистрации данных RRDtool.
В начале декабря 2022 года сопровождающие инструмента объявили об исправлениях для CVE-2022-46169 c оценкой CVSS 9,8, позволяющей злоумышленникам выполнять код на сервере без аутентификации, на котором работает Cacti.
Ошибка была исправлена 5 декабря, в тот же день, когда она была обнаружена исследователями SonarSource.
Через несколько дней после того, как 3 января SonarSource опубликовала технический анализ CVE-2022-46169 Shadowserver предупредила, что зафиксировала первые попытки эксплуатации для внедрения удаленных команд без аутентификации, нацеленные на уязвимость, включая последующую загрузку вредоносного ПО.
Ресерчеры Censys сообщили, что из 6400 обнаруженных ею хостов Cacti, доступных в Интернете, только на 26 была установлена пропатченная версия инструмента. Большинство уязвимых серверов находятся в Бразилии, Индонезии и США.
Поскольку эксплуатация этой уязвимости продолжается, пользователям рекомендуется как можно скорее обновить Cacti до исправленной версии.
Веб-инструмент для оперативного мониторинга и управления неисправностями с открытым исходным кодом Cacti представляет собой интерфейсное приложение для утилиты регистрации данных RRDtool.
В начале декабря 2022 года сопровождающие инструмента объявили об исправлениях для CVE-2022-46169 c оценкой CVSS 9,8, позволяющей злоумышленникам выполнять код на сервере без аутентификации, на котором работает Cacti.
Ошибка была исправлена 5 декабря, в тот же день, когда она была обнаружена исследователями SonarSource.
Через несколько дней после того, как 3 января SonarSource опубликовала технический анализ CVE-2022-46169 Shadowserver предупредила, что зафиксировала первые попытки эксплуатации для внедрения удаленных команд без аутентификации, нацеленные на уязвимость, включая последующую загрузку вредоносного ПО.
Ресерчеры Censys сообщили, что из 6400 обнаруженных ею хостов Cacti, доступных в Интернете, только на 26 была установлена пропатченная версия инструмента. Большинство уязвимых серверов находятся в Бразилии, Индонезии и США.
Поскольку эксплуатация этой уязвимости продолжается, пользователям рекомендуется как можно скорее обновить Cacti до исправленной версии.
GitHub
Unauthenticated Command Injection
### Summary
A command injection vulnerability allows an unauthenticated user to execute arbitrary code on a server running Cacti, if a specific data source was selected for any monitored device.
...
A command injection vulnerability allows an unauthenticated user to execute arbitrary code on a server running Cacti, if a specific data source was selected for any monitored device.
...